URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90281
[ Назад ]

Исходное сообщение
"Кластер squid."
Отправлено pilferst , 12-Ноя-10 13:04

Поставлена задача сделать кластер из прокси серверов на основе squid. Сказано, сделано. Создал две виртуальные машину на esxi объединил их по carp в один IP адрес. В DNS создал запись A для carp интерфейсов. Вел первую машину в домен, сделал авторизацию через керберос, все ок, тестовые юзеры ходят. Не думаю ввел вторую машину в домен. И через нее авторизация по керберосу прошла удачно. НО при переключение на первую машину (на второй положил интерфейс carp0) авторизация по kerberos уже не проходила.
На первой машине
wbinfo -t
checking the trust secret via RPC calls failed

На второй машине

wbinfo -t
checking the trust secret via RPC calls succeeded

И тут я вспомнил, что в домене под одним именем может находиться 1 машина. А у меня получается, что под одним именем должны работать >1 машины.
Как можно разрешить данную ситуацию ?

Содержание

Кластер squid.,pavel_simple, 13:33 , 12-Ноя-10
- Кластер squid.,pilferst, 13:51 , 12-Ноя-10
  - Кластер squid.,pavel_simple, 14:02 , 12-Ноя-10
Кластер squid.,Puk, 13:48 , 12-Ноя-10
- Кластер squid.,McLeod095, 14:47 , 12-Ноя-10
  - Кластер squid.,pilferst, 16:20 , 12-Ноя-10
Кластер squid.,Алексей, 08:38 , 09-Май-15

Сообщения в этом обсуждении

"Кластер squid."
Отправлено pavel_simple , 12-Ноя-10 13:33

>[оверквотинг удален]
>
> На второй машине
>

> wbinfo -t
> checking the trust secret via RPC calls succeeded
>

> И тут я вспомнил, что в домене под одним именем может находиться
> 1 машина. А у меня получается, что под одним именем должны
> работать >1 машины.
> Как можно разрешить данную ситуацию ?
хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти ключики на обе машины
только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.
хотя возможно будет работать, в принципе в природе встречаются винды с более чем 1 ip адресом

"Кластер squid."
Отправлено pilferst , 12-Ноя-10 13:51

>[оверквотинг удален]
>>
>> И тут я вспомнил, что в домене под одним именем может находиться
>> 1 машина. А у меня получается, что под одним именем должны
>> работать >1 машины.
>> Как можно разрешить данную ситуацию ?
> хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти
> ключики на обе машины
> только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.
> хотя возможно будет работать, в принципе в природе встречаются винды с более
> чем 1 ip адресом
Авторизацию через kerberos сделал. А samba нужна для генерации keytab и для просмотра групп в AD

"Кластер squid."
Отправлено pavel_simple , 12-Ноя-10 14:02

>[оверквотинг удален]
>>> 1 машина. А у меня получается, что под одним именем должны
>>> работать >1 машины.
>>> Как можно разрешить данную ситуацию ?
>> хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти
>> ключики на обе машины
>> только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.
>> хотя возможно будет работать, в принципе в природе встречаются винды с более
>> чем 1 ip адресом
> Авторизацию через kerberos сделал. А samba нужна для генерации keytab и для
> просмотра групп в AD
точно? тот который HTTP Negotiate authentication? тот который через gssapi?
тогда и самбы не стоило ставить, сгенерить ключики и всего делов.

"Кластер squid."
Отправлено Puk , 12-Ноя-10 13:48

>[оверквотинг удален]
>
> На второй машине
>

> wbinfo -t
> checking the trust secret via RPC calls succeeded
>

> И тут я вспомнил, что в домене под одним именем может находиться
> 1 машина. А у меня получается, что под одним именем должны
> работать >1 машины.
> Как можно разрешить данную ситуацию ?
Можно же каждую машину под своим именем ввести в домен.
А потом в днс-е прописать CNAME.

"Кластер squid."
Отправлено McLeod095 , 12-Ноя-10 14:47

>[оверквотинг удален]
>>

>> wbinfo -t
>> checking the trust secret via RPC calls succeeded
>>

>> И тут я вспомнил, что в домене под одним именем может находиться
>> 1 машина. А у меня получается, что под одним именем должны
>> работать >1 машины.
>> Как можно разрешить данную ситуацию ?
> Можно же каждую машину под своим именем ввести в домен.
> А потом в днс-е прописать CNAME.
Правильно говорит человек.
Каждую машину вводим под своим именем, например serv1 и serv1. А уже ip carp прописываем в днс например cluster_server. После чего именно к нему и обращаемся. Carp сам разрулит свою ситуацию ну а каждый сервак свою.
Во всяком случае аналогично поднимаются и все виндовые кластеры. После поднятия кластера в домене не появляется компьютер с таким именем а только запись в днс. (Хотя поднимал давно виндовые кластеры, могу немного путать)

"Кластер squid."
Отправлено pilferst , 12-Ноя-10 16:20

>[оверквотинг удален]
>> Можно же каждую машину под своим именем ввести в домен.
>> А потом в днс-е прописать CNAME.
> Правильно говорит человек.
> Каждую машину вводим под своим именем, например serv1 и serv1. А уже
> ip carp прописываем в днс например cluster_server. После чего именно к
> нему и обращаемся. Carp сам разрулит свою ситуацию ну а каждый
> сервак свою.
> Во всяком случае аналогично поднимаются и все виндовые кластеры. После поднятия кластера
> в домене не появляется компьютер с таким именем а только запись
> в днс. (Хотя поднимал давно виндовые кластеры, могу немного путать)
Могу ошибаться, но для кербероса нужно что бы запись в настройках прокси сервера клиента совпадала с его hostname сервака, могу ошибаться. Если не прав поправьте пожалуйста.

"Кластер squid."
Отправлено Алексей , 09-Май-15 08:38

На примере Ubuntu можно сначала одинаково настроить 2 прокси сервера. Цикл статей по настройке NTLM/Kerberos здесь: http://blog.it-kb.ru/2014/06/16/forward-proxy-squid-3-3-on-u.../
Потом с помощью CARP повысить доступность и распределить нагрузку между двумя серверами: http://blog.it-kb.ru/2015/05/08/high-availability-proxy-serv.../